Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Anwendungsgateway V2-SKUs können in einem FIPS (Federal Information Processing Standard) 140 genehmigten Betriebsmodus ausgeführt werden, der allgemein als "FIPS-Modus" bezeichnet wird. Im FIPS-Modus unterstützt Das Anwendungsgateway kryptografische Module und Datenverschlüsselung. Der FIPS-Modus ruft ein FIPS 140-2-validiertes kryptografisches Modul auf, das FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung sicherstellt, wenn diese aktiviert sind.
Clouds und Regionen
| Wolke | Der Status | Standardverhalten |
|---|---|---|
| Azure Government (Fairfax) | Unterstützt | Aktiviert für Bereitstellungen über das Portal |
| Öffentlichkeit | Unterstützt | Disabled |
| Microsoft Azure, betrieben von 21Vianet | Unterstützt | Disabled |
Da FIPS 140 für US-Bundesbehörden obligatorisch ist, ist der FIPS-Modus von Application Gateway V2 in der Azure Government(Fairfax)-Cloud standardmäßig aktiviert. Kunden können den FIPS-Modus deaktivieren, wenn sie ältere Clients mit alten Verschlüsselungssuiten verwenden, es wird jedoch nicht empfohlen. Im Rahmen der FedRAMP-Compliance beauftragt die US-Regierung, dass Systeme nach August 2024 in einem FIPS-genehmigten Modus arbeiten.
Für die restlichen Clouds müssen sich Kunden anmelden, um den FIPS-Modus zu aktivieren.
Betrieb im FIPS-Modus
Das Anwendungsgateway verwendet einen rollierenden Upgradeprozess, um Konfigurationen mit dem FIPS-validierten kryptografischen Modul in allen Instanzen zu implementieren. Die Dauer für das Aktivieren oder Deaktivieren des FIPS-Modus kann je nach Anzahl der konfigurierten oder derzeit ausgeführten Instanzen zwischen 15 und 60 Minuten liegen.
Von Bedeutung
Die Konfiguration des FIPS-Modus kann je nach Anzahl der Instanzen für Ihr Gateway zwischen 15 und 60 Minuten dauern.
Nach der Aktivierung unterstützt das Gateway ausschließlich TLS-Richtlinien und Verschlüsselungssammlungen, die DEN FIPS-Standards entsprechen. Folglich zeigt das Portal nur die eingeschränkte Auswahl von TLS-Richtlinien an (sowohl vordefinierte als auch benutzerdefiniert).
Unterstützte TLS-Richtlinien
Application Gateway bietet zwei Mechanismen für das Steuern der TLS-Richtlinie. Sie können entweder eine vordefinierte Richtlinie oder eine benutzerdefinierte Richtlinie verwenden. Ausführliche Informationen finden Sie in der TLS-Richtlinienübersicht. Eine FIPS-fähige Anwendungsgatewayressource unterstützt nur die folgenden Richtlinien.
Vordefiniert
- AppGwSslPolicy20220101
- AppGwSslPolicy20220101S
Benutzerdefinierte V2
Versionen
- TLS 1.3
- TLS 1.2
Verschlüsselungssuiten
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Aufgrund der eingeschränkten Kompatibilität von TLS-Richtlinien wird bei der Aktivierung von FIPS automatisch AppGwSslPolicy20220101 sowohl für „SSL Policy“ als auch für „SSL Profile“ ausgewählt. Sie kann später geändert werden, um andere FIPS-kompatible TLS-Richtlinien zu verwenden. Um Ältere Clients mit anderen nicht kompatiblen Verschlüsselungssammlungen zu unterstützen, ist es möglich, den FIPS-Modus zu deaktivieren, obwohl er für Ressourcen im Rahmen der FedRAMP-Infrastruktur nicht empfohlen wird.
Aktivieren des FIPS-Modus in V2-SKU
Azure-Portal
So steuern Sie die FIPS-Moduseinstellung über das Azure-Portal
- Navigieren Sie zu Ihrer Anwendungsgatewayressource.
- Öffnen Sie das Blatt "Konfiguration" im linken Menübereich.
- Schalten Sie den FIPS-Modus auf "Aktiviert" um.
Nächste Schritte
Erfahren Sie mehr über die unterstützten TLS-Richtlinien im Anwendungsgateway.